I den här artikeln ska vi titta på DNS(nytt fönster)-säkerhet, vad det betyder för ditt företag och hur användning av Proton VPN ger ditt företag den DNS-säkerhet(nytt fönster) det behöver.

Domain Name System (DNS) översätter människovänliga domännamn till numeriska IP-adresser(nytt fönster) som datorer använder för att identifiera webbplatser och andra internetresurser. Det spelar därför en avgörande roll för hur vi alla använder internet, inklusive för arbete.

Tyvärr uppfanns DNS 1983, långt innan behovet av onlinesäkerhet ens övervägdes. Som standard skickas DNS-förfrågningar i oformaterad text för alla att se, och de kapas lätt för att omdirigera till skadliga domäner. Denna situation är farlig nog för enskilda internetanvändare, men är potentiellt katastrofal i ett affärssammanhang.

Vad är DNS?

Datorer identifierar varje enhet som ansluter direkt till internet med en unik numerisk IP-adress. Det äldre IPv4-systemet använder åttasiffriga adresser (såsom 185.159.159.140), men dessa håller på att ta slut, så den nyare IPv6-standarden använder ett hexadecimalt system (som innehåller både siffror och bokstäver) som kan vara upp till 45 tecken långt (såsom 2001:db8::8a2e:370:7334).

Detta är bra för datorer, men inte för människor, som är mycket bättre på att komma ihåg bokstavsbaserade adresser (domännamn) som är logiska för oss (såsom protonvpn.com). DNS gör att människor kan ange domännamn som vi förstår och mappar dem till numeriska adresser som datorer förstår. I huvudsak fungerar det som en telefonkatalog som korsrefererar domännamn och IP-adresser.

När du anger ett domännamn (till exempel i ett sökfält i webbläsaren) skickas en DNS-fråga till en DNS-server som löser frågan. Det vill säga, den översätter domännamnet till dess motsvarande IP-adress.

Lär dig mer om hur DNS fungerar(nytt fönster)

DNS och integritet för företag

DNS är användbart men skapar ett stort säkerhetsproblem: Alla som har tillgång till ditt företags DNS-frågor känner i praktiken till hela dess webbhistorik, inklusive den för alla anställda som använder ett kontorsnätverk för att ansluta till internet.

DNS och ditt företags internetleverantör

Som standard löses DNS-förfrågningar av din internetleverantör(nytt fönster) (ISP). Tyvärr arbetar inte internetleverantörer med att skydda privatpersoners eller företags integritet. De flesta statliga massövervakningsprogram är beroende av att internetleverantörer sparar loggar över sina kunders webbhistorik. Och eftersom det är enkelt och billigt uppfyller de flesta internetleverantörer dessa rättsliga skyldigheter genom att bara spara DNS-loggar.

I vissa länder (som USA) tillåts internetleverantörer till och med att använda eller sälja kunders DNS-poster(nytt fönster) i reklam- och analyssyfte.

DNS och företagsövervakning

De flesta DNS-förfrågningar skickas till DNS-servern som oformaterad text, vilket innebär att alla enheter som kan fånga upp dem kommer att känna till hela ditt företags webbhistorik. Detta inkluderar ditt företags kontakter, affärspartners, leverantörer, kunder, myndigheter, hälso- och säkerhetsorgan som det interagerar med, och mycket mer.

All denna data är potentiellt mycket värdefull information för konkurrenter.

DNS och säkerhet för företag

Förutom att passivt snoka i ditt företags webbhistorik kan hackare utnyttja DNS för att utföra en rad olika aktiva attacker. Många av dessa riktar sig mot själva DNS-servern (vanligtvis olika former av överbelastningsattacker(nytt fönster) som syftar till att överbelasta servern), men om inte ditt företag driver egna DNS-servrar (vilket vissa gör) är det osannolikt att sådana attacker utgör ett hot mot din verksamhet.

DNS-baserade attacker som kan utgöra ett hot mot de flesta företag inkluderar:

DNS-spoofing

För att snabba upp sökprocessen och minska belastningen på DNS-servrar lagras (cachas) ofta vanliga förfrågningar lokalt på DNS-servern. För att utföra en DNS-spoofing-attack (även känd som DNS-förgiftning) infogar en angripare falska DNS-poster i DNS-serverns cache.

Detta kan göras genom att använda en man-in-the-middle-attack(nytt fönster) (där förfrågan fångas upp mellan användarens enhet och DNS-servern) eller via cache-förgiftning(nytt fönster) (där sårbarheter i DNS-serverns mjukvara utnyttjas för att injicera skadliga poster i dess cache).

När DNS-cachen väl är förgiftad, omdirigerar den korrupta DNS-posten användaren till en annan IP-adress som kontrolleras av angriparen när denne försöker besöka en legitim webbplats. Precis som med nätfiskeattacker resulterar detta vanligtvis i att lösenord och kreditkortsinformation stjäls och/eller att skadlig kod laddas upp till företagets datorer.

DNS-tunneling

Ofta använt som ett verktyg för företagsövervakning för att kringgå brandväggar och andra säkerhetsåtgärder som syftar till att förhindra exfiltrering (stöld) av känslig data, kodar DNS-tunneling datan så att den kan överföras inom DNS-förfrågningar och svar, vilket effektivt använder DNS-infrastrukturen som en dold kommunikationskanal.

Det kan också användas av angripare för att upprätthålla kommunikation med komprometterade system, skicka kommandon och ta emot utdata utan upptäckt. DNS-tunneling utnyttjar det faktum att DNS-trafik ofta granskas mindre noggrant av säkerhetsenheter jämfört med andra typer av trafik, vilket gör det till en effektiv metod för att kringgå brandväggar och filter.

Lösningar för DNS-säkerhet

De flesta internetleverantörer implementerar inga DNS-säkerhetsåtgärder överhuvudtaget (och har i allmänhet inget intresse av att skydda ditt företags integritet). Tredjepartsleverantörer av DNS som Cloudflare 1.1.1.1, Quad9 och OpenNIC har dock ett mycket starkare fokus på integritet och säkerhet. Detta inkluderar användning av teknik som gör DNS mycket säkrare.

Privat DNS

Privat DNS (även känt som krypterad DNS) använder säkerhetsprotokollen DNS-över-TLS (DoT), DNS-över-HTTPS (DoH) eller DNSCrypt för att kryptera DNS-förfrågningar mellan enheten som gör förfrågan och DNS-servern.

Detta säkerställer att din internetleverantör (eller någon annan som övervakar ditt företags internetanslutning) inte kan se dina DNS-förfrågningar.

Lär dig mer om privat DNS(nytt fönster)

Privat DNS är helt klart en enorm förbättring jämfört med att skicka DNS-förfrågningar som oformaterad text, även om det inte är lika privat som att använda en VPN-tjänst, som krypterar inte bara dina DNS-förfrågningar utan all ditt företags känsliga data, och därmed helt förhindrar din internetleverantör från att se vad ditt företag gör online. Det döljer också din riktiga IP-adress från webbplatser som din personal besöker.

DNSSEC

Domain Name System Security Extensions (DNSSEC) är en uppsättning specifikationer utformade för att lägga till ett extra lager av säkerhet till DNS.

DNSSEC:

  • Säkerställer att svaren på DNS-förfrågningar är autentiska. Det görs genom att använda digitala signaturer för att signera DNS-data, vilka sedan valideras av klienten. Detta hjälper till att verifiera att datan inte har manipulerats och att den verkligen kommer från den legitima källan.
  • Garanterar att datan inte har ändrats under överföringen. Det görs genom att signera DNS-datan digitalt, vilket skyddar mot man-in-the-middle-attacker och förhindrar att någon modifierar datan. 

Hur Proton VPN kan skydda ditt företags DNS

Förutom att tillhandahålla IP-adresser för gateways för att säkra ditt företags resurser, erbjuder Proton VPN for Business robust DNS-säkerhet:

  • Alla DNS-förfrågningar skickas genom den krypterade VPN-tunneln för att lösas av våra egna säkra DNS-servrar (så det finns inget behov av privata DNS-lösningar)
  • Vi loggar aldrig dina DNS-förfrågningar (eller något annat för den delen)   
  • Vår funktion NetShield Ad-blocker är ett DNS-filter som blockerar DNS-förfrågningar till skadliga domäner kända för annonser, spårare och (valfritt, för ökad kontroll) skadlig kod 
  • Dina DNS-servrar använder DNSSEC för att autentisera DNS-data (förutom för domäner som blockeras av NetShield, som vi ändå inte löser)
Skaffa Proton VPN for Business

Avslutande tankar: Vikten av DNS-skydd för företag

DNS-säkerhet förbises ofta, men borde vara en viktig faktor för alla företag som bedömer sin säkerhetsstatus. Faktum är att attacker som DNS-tunneling existerar just för att man ofta inte är tillräckligt noga med att säkra företags DNS-förfrågningar.

Med Proton VPN for Business kan du vara säker på att alla DNS-förfrågningar krypteras, att inga DNS-loggar sparas och att DNS-upplösningar autentiseras med hjälp av DNSSEC.